ハクソク

世界を動かす技術を、日本語で。

ドイツが「UNKN」を指名、RUランサムウェアギャングREvilとGandCrabの首領

49日前原文(krebsonsecurity.com)

概要

  • ロシアの著名なハッカー「UNKN」の正体がDaniil Maksimovich Shchukinであると判明
  • ShchukinはGandCrabおよびREvilランサムウェアグループのリーダー
  • ドイツ連邦刑事警察局(BKA)が少なくとも130件のサイバー犯罪を認定
  • 被害総額は3,500万ユーロ、身代金約200万ユーロを得たとされる
  • 米国司法省もShchukin名義の暗号資産押収を申請

ロシアのランサムウェアリーダー「UNKN」=Daniil Maksimovich Shchukin

  • UNKN(UNKNOWN) の正体が Daniil Maksimovich Shchukin であることをドイツBKAが発表
  • Shchukinは REvil および GandCrab のリーダーとして活動
  • 2019年から2021年にかけて 130件以上 のサイバー攻撃と恐喝を主導
  • 共犯者 Anatoly Sergeevitsch Kravchuk とともに 200万ユーロ 超の身代金を得る
  • 被害総額は 3,500万ユーロ 以上、ドイツ国内外で大規模被害

GandCrabおよびREvilの手口と進化

  • GandCrab は2018年に登場、アフィリエイト制でハッカーに利益を分配

  • 被害者からの情報窃取やアクセス拡大を図る手法

  • マルウェアは 5回の大規模アップデート で検知回避や新機能を追加

  • 2019年5月、 「2億ドル以上を恐喝」と宣言し活動停止

  • 「悪事を働いても逃げ切れる」との声明が話題に

  • REvil はGandCrab終了直後に登場、 UNKNOWN がリーダーとして名乗り出る

  • サイバー犯罪フォーラムに 100万ドルのエスクロー預託 で本気度をアピール

  • 多くの専門家が REvilはGandCrabの再編 と推測

  • ダブルエクストーション (復号鍵とデータ非公開の二重請求)を先駆けて導入

犯罪インフラとランサムウェア経済

  • REvilやGandCrabは 正規企業のビジネスモデル を模倣
    • 専門業者へのアウトソーシング
    • 高品質なランサムウェア開発への再投資
    • 専門スタッフの雇用拡大
  • クリプター業者 がマルウェアの検知回避を支援
  • 初期アクセスブローカー がネットワーク侵入経路を販売
  • ビットコインタンブラー による資金洗浄サービス
  • これらのサイバー犯罪エコシステムの拡大

REvilの大規模攻撃と終焉

  • REvilは 大企業やサイバー保険加入組織 を主な標的に
  • 2021年7月、米国の Kaseya を通じて1,500以上の団体に攻撃
  • FBIが REvilサーバーに事前侵入 し、無料復号鍵も公開
  • これにより REvilは壊滅的打撃 を受け活動停止

Shchukinの背景と現在

  • Krasnodar 出身、現在もロシア国内に滞在と推測
  • かつて「Ger0in」名義で ボットネット運用やマルウェア拡散 に関与(2010-2011年)
  • 2023年の誕生日パーティー写真や時計などから本人特定が進む
  • 2023年ドイツの 37C3カンファレンス でもREvilリーダーとして名指し

まとめ

  • UNKN=Daniil Maksimovich Shchukin の実態解明
  • GandCrab/REvilによる 世界規模のサイバー犯罪ネットワーク
  • 犯罪経済の高度化とアウトソーシング化
  • 国際捜査機関による継続的な追跡と摘発

Hackerたちの意見

最近、シュピーゲルが彼らについての動画をアップしたよね: https://www.youtube.com/watch?v=HuwRrqM6H1M

インフォセックのブログが「ドキシング」をこんな風に使うのは変な感じだね。ドキシングは一般的に個人情報を不正に暴露することとされてるから。犯罪者を特定するのは倫理的だと思うけど。

「犯罪者を特定するのは倫理的だ。」 これは、すでに高い西洋のホワイトカラーのインターネット基準でも、国家に道徳を委ねるのは行き過ぎだよ。確かに、彼らは良くないことをしてるし、特定して起訴されるべきだと思うけど、政府がやってるからって悪いことが良いことになるってのは、道徳的な指針を放棄してるようなもんだよね。せいぜい、これはまだ悪いことだけど、他の選択肢がもっと悪いから必要なことだって感じ。自己防衛で誰かを撃つとか、十分に悪いことをした人を檻に入れるとか。編集: 倫理と道徳の違いをちょっと曖昧にしちゃったけど、でもポイントは変わらないよ。

彼らは明らかに「個人情報の暴露」として受け取ったんだと思う。

「犯罪者を特定するのは倫理的だ。」 確かに、TFAで「ドキシング」が誤用されているのには同意するけど、犯罪者にも他の人と同じようにプライバシーの権利があるよね。これらの権利を侵害するには特定の正当化が必要で、自動的に倫理的とは言えないよ。

「ドキシング」って90年代からあって、ハッカーが別のハッカーの正体を暴いて逮捕させるために使われてたんだ。それって、ここでの使い方とほぼ同じだね。

誰かを(最も)指名手配リストに載せるのが「ドキシング」なの? [編集] 「ダニール・マキシモビッチ・シュチュキンに対して、ランサムウェアを使った組織犯罪や商業的恐喝の多数の容疑で国際的な捜索が行われています。」

残念ながら、言葉は薄まっていく傾向があるよね。最近のポップカルチャーでは、誰かの個人情報を、たいていその人の意に反して公開することを指す。

うん、これは納得できないな。ドキシングは非常にネガティブな意味合いを持つ言葉で、率直に言って、隠れているわけでもないし、何か悪いことをしているわけでもない人に対して行われることが多い。ここで同じ行為を指す正しい言葉は「告発」か「暴露」だと思う。

誰かを「最も指名手配されたリスト」に載せるのが「ドキシング」なの? いや、もしただUNKNを最も指名手配されたリストに載せただけなら、それはドキシングじゃないよ。でも、UNKNを「ダニール・マクシモビッチ・シュチュキン」と結びつけたら、それがドキシングだね。最も指名手配されたリストに載ってるかどうかは関係ない。

それに、アメリカはもう3年前に彼を特定してたみたいだね?

この論理も理解できないな。GDPRを真剣に受け止めすぎだよ、笑。冗談だけどね。

どうやら、CCCに関係するハッカーたちが数年前にそのうちの一人を暴露してたらしいよ(アップデートで報告されてたけど、ここでの話にリンクしてるだけかもしれないね: https://media.ccc.de/v/37c3-12134-hirne_hacken_hackback_edit...)。調査官たちがこれを独自に発見したのか、それともすでに関与してるハッカーたちに助けを求めたのか、気になるところだね…

この話には詳しくないけど、私の知る限り、ドイツではCCCとBNDの間にあまり良い関係はないみたいだね(最近は主にBNDがドイツ市民をスパイしてたからだけど、もっと深い歴史もあると思う)。ハッカーがBNDと協力すると、仲間たちがもう彼らと協力したくなくなるリスクがあるんだ。

「これは以前匿名だった恐喝者の名前です」って、どうしてドキシングになるの? 記事に載ってない何かがあるなら別だけど、彼の現在の住所や家族、電話番号とかは載ってなかったよ。それはドキシングじゃなくて、「逮捕したい奴がいる」ってことだよ。

それはクールに聞こえないね。特に、ドイツが何を望んでるかなんて誰も気にしてないし。

「ドキシング」って言葉の意味が、徐々に「誰かの同意なしに情報を暴露すること」っていう風に変わってきたように思う。国家機関、企業、個人に関わらずね。ところで、もし隣人が密かにかなり裕福な犯罪者だとわかったら、どうなると思う? そういう発表の後には、盗みや強盗、脅迫の試みがあったよ。情報機関の職員になりすまして、最近ドキシングされたサイバー犯罪者に賄賂を強要しようとしたケースもあったんだ。

いつから犯罪者を公式な指名手配リストに載せることがドキシングになるの?! もし情報を削除してほしいなら、裁判所に出てくればいいだけじゃん。

みんな「ドキシング」って言葉の概念にハマってる気がする。匿名のオンラインハッキング界隈では、誰かのOPSECを暴露すること自体が基本的にドキシングと見なされてる。みんな普通にやってるけど、それは敵だっていう明確なサインとされてる。一部の人は「完全開示」スタイルで、すぐに透明に全てのOPSECの失敗を暴露するけど、そうしないと人々はOPSECの失敗を集めて、まるで脅迫のように見せるんだよね。「あの時、本名でサインしたの覚えてる?」とか「君のクリアネットアドレス知ってるよ」みたいに。

ここにあるコメントの中には(最近のHN全体でも)すごく気になるものがある。実際の犯罪で告発された人が逮捕されて、起訴され、もし有罪なら適切な刑を受けるべきじゃないって本気で思ってるの? それがうまくいかないってことは、2つの脳細胞が擦れ合うだけでわかるよ。何でもかんでも「それについてはどうなの?」って言うのは、政治的な違いや本当の不正を持ち出しても、合理的な立場にはならないと思う。

それは人々が「本当の犯罪」を定義する法律についてどう思ってるかに依存すると思う。例えば、ドイツではマリファナを育てるのは本当の犯罪だったけど、今は合法だし、昔から多くの合理的な人はマリファナで誰かが刑務所に行くのを望んでなかった。

「ドキシーズ」っていうのが正しい綴りだと思う。頭の中では「ドクシーズ」って読んでるし。数十年前には全く意味不明な見出しになっただろうね。